Suivi des maj sécurité

Questions relatives à la sécurité de votre système : firewall, SELinux, etc...
thibaut
Messages : 5
Inscription : 12 janvier 2011, 15:03

Suivi des maj sécurité

Message par thibaut » 12 janvier 2011, 15:08

Bonjour,

Je travail actuellement sur de la sécurité informatique au sein d'une structure qui dispose d'un bon nombre de CentOS.

Etant une distribution basée sur RHEL, je voudrais savoir si les correctifs sécurités (lié par exemple à apache, php, mysql, etc...) sont les mêmes appliqués sur CentOS que sur RHEL ?

Si non, où puis-je trouver une sorte de base de données où est répertorié la liste des mises à jours concernant la sécurité, les bugs, etc...

Merci de votre aide.

Avatar de l’utilisateur
Arrfab
Administrateur
Messages : 307
Inscription : 16 octobre 2009, 18:04
Localisation : /dev/irc.freenode.net/#centos
Contact :

Re: Suivi des maj sécurité

Message par Arrfab » 13 janvier 2011, 17:12

Les correctifs sont les mêmes, puisqu'ils sont construits (comme pour la distribution elle-même) à partir des SRPMS fournis par Red Hat.
Il n'y a pas de base de données concernant les updates, mais une liste (centos-announce sur http://lists.centos.org) qui contient pour chaque update le nom du package, le lien vers la description redhat et (si nécessaire) vers les CVEs correspondants.
----
test -e /dev/human/brain || ( echo 1 > /proc/sys/kernel/sysrq ; echo c > /proc/sysrq-trigger )

thibaut
Messages : 5
Inscription : 12 janvier 2011, 15:03

Re: Suivi des maj sécurité

Message par thibaut » 13 janvier 2011, 17:50

Merci de ta réponse. Donc si je te suis bien, par exemple, ce récent advisory http://secunia.com/advisories/42892/ concernant RHEL... Si je met ma CentOS à jour, j'aurai ce correctif ?

Et donc pour finir, si je cherche un correctif sécurité pour CentOS, je peux sans trop de soucis me référer à cette base la ? https://rhn.redhat.com/errata/

La réactivité des correctifs est-elle la même entre une RHEL et une CentOS ?

Merci beaucoup !

Avatar de l’utilisateur
remi
Messages : 221
Inscription : 20 octobre 2009, 07:10
Localisation : Champagne...
Contact :

Re: Suivi des maj sécurité

Message par remi » 13 janvier 2011, 21:10

Oui, les correctifs diffusé par RH sont repris par CentOS.

Il y a juste un petit délai entre la publication des sources par RH, la recompilation et la publication par CentOS.

Ce qui peut être assez long lors de la sortie d'une nouvelle version (comme la RHEL-5.6 qui vient de sortir aujourd'hui) ou pire lors de la sortie d'une version majeure (comme la RHEL 6)

+
Contributeur EPEL et CentOS SCLo SIG
Des RPM pour CentOS sur https://rpms.remirepo.net

thibaut
Messages : 5
Inscription : 12 janvier 2011, 15:03

Re: Suivi des maj sécurité

Message par thibaut » 19 janvier 2011, 15:28

Je peux donc me fier à ce site pour les correctifs CentOS ? :
https://www.redhat.com/security/data/cve/

EDIT : les versions antérieures à la 5.5 sont toujours maintenant d'un point de vu sécurité ?

thibaut
Messages : 5
Inscription : 12 janvier 2011, 15:03

Re: Suivi des maj sécurité

Message par thibaut » 24 janvier 2011, 11:18

Bonjour,

J'aurai vraiment besoin d'une réponse concernant l'existence d'une base de mises à jour (de sécurité ou non) pour CentOS.

J'utilise un scanner de vulnérabilité qui me remonte certaines alertes concernant des vulnérabilités sur la version d'apache de la CentOS 5.5. J'ai moyen de vérifier que ces vulnérabilités sont corrigées avec le site de RHN, mais rien ne m'indique si les patchs sont bien passé pour CentOS.

Il n'y a définitivement pas de base d'archive pour ce genre de chose ?

Merci beaucoup....

Avatar de l’utilisateur
remi
Messages : 221
Inscription : 20 octobre 2009, 07:10
Localisation : Champagne...
Contact :

Re: Suivi des maj sécurité

Message par remi » 24 janvier 2011, 11:50

Ben, il suffit de vérifier que la version disponible dans CentOS est la même que dans RHEL (en comparant Nom, Version ET Release)

+
Contributeur EPEL et CentOS SCLo SIG
Des RPM pour CentOS sur https://rpms.remirepo.net

thibaut
Messages : 5
Inscription : 12 janvier 2011, 15:03

Re: Suivi des maj sécurité

Message par thibaut » 24 janvier 2011, 12:17

Ok, donc par exemple, j'ai une alerte depuis mon scanner de vulnérabilité pour apache (sur CentOS 5.5) avec ce numero cve : CVE-2009-1191

Je vois ça sur rhn : https://rhn.redhat.com/errata/RHSA-2009-1058.html

"Affected Products: JBoss Enterprise Web Server EL4
JBoss Enterprise Web Server EL5"

J'en conclu que la CentOS 5.5 n'est pas affectée ou que cela n'a pas été réglé ?

Avatar de l’utilisateur
remi
Messages : 221
Inscription : 20 octobre 2009, 07:10
Localisation : Champagne...
Contact :

Re: Suivi des maj sécurité

Message par remi » 24 janvier 2011, 12:28

C'est une alerte JBoss.

Cdlt.
Contributeur EPEL et CentOS SCLo SIG
Des RPM pour CentOS sur https://rpms.remirepo.net

Verrouillé